原文:http://www.itful.com/html/net_safe/safe1/2009/0613/1232.html
台灣這類的知識文章實在是乏善可陳,只好從對岸去找囉~
80年代末期,由於電腦病毒的出現,就有了它的剋星──反病毒軟件的誕生。從此,開始了「貓」與「鼠」、「矛」與「盾」的博弈。這一時期,病毒製作者所使用的技術還比較「小兒科」,因而反病毒軟件對其檢測、查殺相對容易。當時,廣泛使用的就是「特徵碼匹配方法」。此後,為了躲避殺毒軟件的查殺,病毒開始了進化,逐漸演變為變形的形式:每感染一次,就像「變形金剛」一樣改換一次面孔,以此來躲避反病毒軟件的「追殺」。
由於同一種病毒的變種病毒大量增加,單純依靠病毒庫和特徵碼技術已經不能適應網絡安全需要。於是,便出現了廣譜特徵碼的概念。這個技術在一段時間內,對於處理某些變形病毒提供了一種方法,但是也使誤報率大大增加,所以採用廣譜特徵碼技術也不能有效對新病毒和未知病毒進行查殺。正中了「魔高一尺,道高一丈」的古訓,新的查毒技術應運而生——這就是能夠主動檢測和攔截未知威脅的防禦方法,即「主動防禦技術」。
主動防禦技術是在沒有病毒樣本的情況下,針對未知病毒研發的病毒防殺技術:1。在未知病毒和未知程序方面,通過「行為判斷」技術識別大部分未被截獲的未知病毒和變種。2。通過對漏洞攻擊行為進行監測,可防止病毒利用系統漏洞對計算機進行的攻擊。說到主動防禦,不得不提起啟髮式查毒技術。啟髮式查毒技術屬於主動防禦的一種,是當前對付未知病毒的主要手段,從工作原理上可分為靜態啟發和動態啟發兩種——
靜態啟發,是指在靜止狀態下通過病毒的典型指令特徵識別病毒的方法,是對傳統特徵碼掃瞄的一種補充。由於病毒程序與正常的應用程序在啟動時有很多區別,通常一個正常應用程序在最初的指令,是檢查命令行並輸入有關參數項、清屏和保存原來屏幕顯示等;而病毒程序最初的指令通常是直接寫盤操作、解碼指令,或搜索某路徑下的可執行程序等相關操作指令序列。靜態啟發就是通過簡單的反編譯,在不運行病毒程序的情況下,核對病毒頭靜態指令從而確定病毒的一種技術。
相對靜態啟發技術,動態啟發技術要複雜和先進很多。動態啟發通過殺軟內置的虛擬機技術,給病毒構建一個仿真的運行環境,誘使病毒在殺軟的模擬緩衝區中運行,如運行過程中檢測到可疑的動作,則判定為危險程序並進行攔截。這種方法更有助於識別未知病毒,對加殼病毒依然有效,但如果控制得不好,就會出現較多的誤判誤報。儘管如此,由於動態啟髮式判斷技術具有許多不可替代的優勢,因此仍然是目前檢測未知病毒最有效、最可靠的方法之一,並在各大殺軟產品中得到了廣泛應用。
留言列表
